通知公告

关于Apache Tomcat信息泄露漏洞的预警通报
发布日期:2023-05-19 08:38 浏览量:

Apache Tomcat组件存在信息泄露漏洞,漏洞编号:CVE-2023-28708,漏洞威胁等级:高危。该漏洞是由于RemoteIpFilter接受携带X-Forwarded-Proto请求头的通过反向代理的HTTP协议请求被设置为HTTPS时,Tomcat创建的会话或Cookie不包括安全属性,这可能会导致用户代理将Cookie或Session通过不安全的隧道传输。攻击者可利用该漏洞在未授权的情况下泄漏Cookie或Session,最终造成服务器敏感性信息泄露。

Apache Tomcat软件是Jakarta Servlet、Jakarta Server Pages、JakartaExpression Language、Jakarta WebSocket、Jakarta Annotations和Jakarta Authentication规范的开源实现。Apache Tomcat实现了对Servlet和JavaServer Page(JSP)的支持,并提供了作为Web服务器的一些特有功能,如Tomcat管理和控制平台、安全域管理和Tomcat阀等。

(一)漏洞影响范围:

目前受影响的Apache Tmocat版本:

11.0.0-M1 ≤ Apache Tomcat ≤ 11.0.0-M2

10.1.0-M1 ≤ Apache Tomcat ≤ 10.1.5

9.0.0-M1 ≤ Apache Tomcat ≤ 9.0.71

8.5.0 ≤ Apache Tomcat ≤ 8.5.85

(二)漏洞修复建议:

当前官方已发布最新版本,建议受影响的用户及时更新升级到最新版本。各个版本链接如下:

Apache Tomcat 11系列:

https://tomcat.apache.org/download-11.cgi

Apache Tomcat 10系列:

https://tomcat.apache.org/download-10.cgi

Apache Tomcat 9系列:

https://tomcat.apache.org/download-90.cgi

Apache Tomcat 8系列:

https://tomcat.apache.org/download-80.cgi